⚠️ Спустя всего несколько часов после восстановления работы крупнейшей цифровой библиотеки в мире, Internet Archive снова оказался в центре кибератаки.

21 октября несколько пользователей и СМИ сообщили о получении электронного письма якобы от команды Internet Archive, в котором был распространён украденный токен доступа к Zendesk — платформе для управления клиентскими запросами. В письме утверждалось, что организация не удосужилась своевременно изменить ключи API, которые были скомпрометированы через их GitLab.

«Как демонстрирует это сообщение, токен Zendesk с доступом к 800 000+ заявкам на info@archive.org, начиная с 2018 года, оказался в руках посторонних лиц», — говорилось в письме. «Если не у меня, то у кого-то другого».

*Хотя письмо было отправлено неавторизованным источником, оно прошло проверки безопасности, что указывает на отправку с серверов Zendesk.

Исследовательская группа Vx-underground прокомментировала в соцсети X:

«Похоже, что злоумышленники продолжают иметь доступ к системам Internet Archive и пытаются отправить сигнал».

Джейк Мур, советник по кибербезопасности из ESET, отметил:

«Важно, чтобы компании быстро проводили полные аудиты после атак, так как злоумышленники будут неоднократно проверять новые системы защиты».

Скомпрометированный файл конфигурации GitLab

🖥 Internet Archive ранее подвергся серии кибератак, включая DDoS-атаки, взлом с внедрением JavaScript-кода и утечку данных.

🔈 Группа BlackMeta, выступающая за палестинские интересы, взяла на себя ответственность за DDoS-атаки, однако за утечкой данных может стоять другая группа.

⌛ По данным BleepingComputer, хакер, стоящий за утечкой, утверждает, что получил доступ к файлу конфигурации GitLab на одном из серверов разработки Internet Archive. Этот файл содержал токен аутентификации, позволивший загрузить исходный код организации, который, вероятно, включал API-токены для системы поддержки Zendesk.

Internet Archive и его основатель Брюстер Кэйл пока не прокомментировали ситуацию.

#новости

В новой статье серии посвящённой кибер-разведке, мы узнаем о нескольких полезных инструментах для OSINT. Рассмотрим два мощных решения для анализа доменов и один инструмент для поиска почты по никнейму.

✔️ Back-Me-Up — это инструмент для автоматизированного поиска уязвимостей, который комбинирует возможности множества утилит для извлечения URL из интернет-архивов и анализа утечек конфиденциальных данных.

Back-Me-Up собирает ссылки из таких источников, как Wayback Machine, а затем фильтрует их, чтобы выявить важную информацию, например, файлы с расширениями .sql, .bkp, .txt и другие. Это незаменимый инструмент для тех, кто занимается баг-баунти или OSINT-разведкой.

✔️ Enola-Finds — универсальный инструмент для сбора данных о доменах и веб-приложениях. Он использует сразу несколько утилит, таких как Nmap, Whois, Dirb, Nikto и SSLscan для сбора информации о хосте. Enola-Finds позволяет увидеть активные порты, версии сервисов, сертификаты SSL, а также другие важные данные, необходимые для кибер-исследования.

✔️ Наконец, Mailcat — это простой и удобный инструмент, который помогает найти существующие email-адреса по никнейму. Этот инструмент особенно полезен в ситуациях, когда нужно быстро и эффективно сопоставить ник с реальной почтой.

Если вам нужно быстро собрать информацию о доменах, просканировать хосты или узнать, какие email-адреса связаны с конкретным ником — эти инструменты могут стать отличными помощниками в вашем исследовании. В статье вы найдёте пошаговые инструкции по их установке и использованию.

➡️ Подробности и примеры использования — читайте в статье!

Курс "Профессия Пентестер" — запись до 31 октября! 🎉

🙂 Научитесь атаковать сети, WEB-сайты, операционные системы и локальные устройства и проводить внутренний и внешний пентест
🙂 Участвуйте в BugBounty программах или постройте карьеру в сфере информационной безопасности

Полный цикл обучения:
⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети

Хотите стать пентестером? 👀 Присоединяйтесь к нам – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!

🚀 @Codeby_Academy
🖥 Подробнее о курсе

🖥 C апреля 2024 года активно распространяется новая семья вредоносных программ, известная как WarmCookie (также именуемая BadSpace). По данным исследования Cisco Talos от 23 октября, эта программа обеспечивает устойчивый доступ к скомпрометированным сетям и часто служит для дальнейшей загрузки других вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike.

✔️ Методы заражения и функционал WarmCookie
WarmCookie передаётся через фальшивые письма с заманчивыми темами вроде предложений работы или счетов. Вредонос попадает в систему через вложения в письмах или встроенные гиперссылки. Его функционал включает:
🔸 выполнение команд
🔸 захват скриншотов
🔸 загрузка дополнительных вредоносных программ

🔍 Связь с TA866 и Resident backdoor
WarmCookie тесно связан с хакерской группой TA866. Его функционал схож с другой вредоносной программой, Resident backdoor, ранее использованной этой группировкой.

📈 Эволюция WarmCookie
WarmCookie продолжает развиваться: добавлены новые команды, улучшены механизмы стойкости и обнаружения песочниц. Эксперты прогнозируют дальнейшее усовершенствование программы для длительных кибершпионажных атак.

#новости

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Загадка

🎢 Категория Разное — Фрилансер

Приятного хакинга!

Согласно исследованию ISACA на Европейской конференции 2024 года, специалисты по кибербезопасности всё чаще остаются в стороне при разработке политик по использованию ИИ.

✏️ Только 35% из опрошенных 1800 специалистов участвуют в создании таких политик, а 45% вовсе не задействованы в разработке, внедрении или управлении ИИ-решениями.

💡 Несмотря на растущее число компаний, разрешающих генеративный ИИ на рабочем месте, кибербезопасность не всегда интегрируется в новые AI-стратегии, о чем заявил Крис Димитриадис, Chief Global Strategy Officer ISACA.

🗣️ "Мы стремимся к инновациям и улучшению клиентского опыта, фокусируясь на этике и комплаенсе, забывая про кибербезопасность, которая жизненно необходима", — подчеркнул Димитриадис.

👀 По словам генерального директора ISACA, Эрика Пруша, управление рисками ИИ теперь лежит не только на CISO или CIO, а на всей команде, так как уязвимости зависят от каждого человека в организации.

Где уже применяется ИИ:
🔸 Автоматизация обнаружения и реагирования на угрозы (28%)
🔸 Безопасность конечных точек (27%)
🔸 Рутинные задачи (24%)
🔸 Обнаружение мошенничества (13%)

#новости

В первой статье нового цикла копнем глубже в архитектуру ядра Windows и обсудим такие интересные сущности, как объекты и дескрипторы. Пройдемся по основным структурам — от EPROCESS, которая "идентифицирует" процесс, до TABLE_ENTRY, которая хранит дескрипторы. И да, это та самая база, на которой строятся античиты и антивирусы.

⚙️ Процессы и Потоки
Создание процесса начинается с вызова Kernel32!CreateProcess(), который через цепочку Ntdll → ядро попадает в Nt/ZwCreateFile(). Здесь создается основная структура процесса _EPROCESS, включающая ядро планировщика _KPROCESS. Каждый поток получает свою структуру _ETHREAD, связанную с _EPROCESS. Процессы идентифицируются по PID, а потоки по TID, что помогает ОС отслеживать и управлять их состоянием.

⚙️ Object, Handle и Identifier
В глазах ядра всё является *объектом* — от файлов до процессов. Каждый объект имеет дескриптор (handle), который предоставляет к нему доступ. Когда, например, открывается файл через CreateFile(), ядро создает объект и возвращает handle, по которому процесс может обращаться к объекту. Управление и подсчет ссылок на объекты происходит через два счетчика: Handle и Pointer, которые отслеживаются диспетчером объектов.

⚙️ Исследование объектов
На физическом уровне объект — это структура данных с заголовком OBJECT_HEADER. У него есть поле SecurityDescriptor, хранящее доступ к объекту (DACL/ACE). Обычно драйверы и API возвращают только тело объекта (смещение 30h), скрывая доступ к заголовку. Но, имея адрес объекта, можно получить и доступ к заголовку, что важно при анализе системной безопасности.

⚙️ Таблица Дескрипторов Процесса
Каждому процессу выделяется своя таблица дескрипторов HANDLE_TABLE. Это ускоряет доступ к дескрипторам и управляется системой автоматически, выделяя виртуальные страницы памяти. Размер одной записи — 16 байт, из которых первые 8 — это указатель на OBJECT_HEADER, а вторые — маска доступа GrantedAccess.

✏️ Продолжение следует: в следующей части обсудим больше интересных деталей системы, так что следите за обновлениями!

➡️ Читать подробнее

Известная группа Lazarus, включая её подразделение BlueNoroff, провела очередную сложную кибератаку, эксплуатируя новую уязвимость нулевого дня в Google Chrome 👀

🔍 Исследователи Kaspersky обнаружили эту кампанию, когда вредоносное ПО Manuscrypt, используемое Lazarus, инфицировало систему в России. В этот раз группа использовала уязвимость в движке V8 Chrome, позволяющую получить полный контроль над заражёнными устройствами.

🗣️ Атака началась с сайта detankzone[.]com, который притворялся платформой DeFi-игры с NFT. Достаточно было посетить сайт через Chrome, чтобы сработала вредоносная программа, перехватывающая управление системой.

Ключевые уязвимости:
🔸 CVE-2024-4947: Переписывание критических структур памяти в компиляторе Maglev Chrome
🔸 Обход песочницы V8: Позволил выполнить произвольный код

#новости

🔔 Вторая часть серии статей о ядре Windows посвящена исследованию подсистемы Win32 и драйвера поддержки win32k.sys, рассматриваются переходы из пользовательского режима в режим ядра через таблицу системных сервисов SSDT.

🗣️ Статья включает практические примеры в отладчике WinDbg, так что знания можно сразу применить на практике. Рекомендуется к прочтению после первой части.

Подсистема Win32 в архитектуре Windows
🔸В Windows виртуальная память делится на область пользователя (User) и ядра (Kernel). На системах x64 используется только часть адресного пространства. Старшие 16 бит установлены в единицу, что позволяет по старшим битам адреса сразу определять, принадлежит ли объект ядру или пользователю.
🔸Win32, основная подсистема Windows, предоставляет базовые библиотеки окружения, такие как Kernel32, User32 и Gdi32, отвечающие за интерфейсы графики (GUI). Отдельное внимание уделено драйверу win32k.sys, который поддерживает работу графического интерфейса в ядре.

Файлы Csrss.exe, Gdi32.dll и Win32k.sys
🔸GDI (Graphics Device Interface) — это компонент для вывода графического контента на устройства. До NT4 он находился в пользовательском режиме, но в целях безопасности его перенесли в режим ядра, добавив win32k.sys. Теперь CSRSS (Client/Server Runtime SubSystem) обрабатывает только консольные задачи, а графика передана win32k.sys.

SSDT — System Service Descriptor Table
🔸SSDT позволяет выполнять системные вызовы в ядре с использованием SYSENTER/SYSCALL инструкций. Для каждой функции ядра есть уникальный "System Service Number" (SSN), который задает ее адрес в SSDT. Это обеспечивает быстрый и эффективный переход между режимами.
🔸Для графических функций существует отдельная "затененная" таблица — SSDT Shadow. Она действует только для GUI-приложений, тогда как консольные приложения используют основную таблицу SSDT#0.

⚙️ В статье приводится демонстрация работы SSDT и SSDT Shadow в отладчике WinDbg. Указатели на обе таблицы можно обнаружить, подключившись к процессу GUI.

➡️ Читать подробнее

Согласно новому отчёту Email Threat Trends Report от Vipre Security Group, мошеннические атаки с использованием деловой переписки (BEC) составляют более половины всех фишинговых попыток, и производственные компании оказались особенно уязвимыми.

Основные данные отчёта
🔸 Из 1,8 миллиарда обработанных за квартал писем, 12% были классифицированы как вредоносные, а на BEC пришлось 58% всех фишинговых атак.
🔸 В 89% случаев атакующие выдавали себя за авторитетных лиц, чтобы вызвать доверие.
🔸 Производственный сектор оказался наиболее подверженным угрозам: 27% всех обработанных писем в этой отрасли оказались вредоносными.

⚙️ Рост атак на производственный сектор
На производственные компании стали чаще нацеливаться из-за возможности перенаправления платежей поставщиков на мошеннические счета. Кроме того, взлом корпоративных почтовых ящиков даёт доступ к другим компаниям и клиентам, позволяя отправлять поддельные запросы на документы для кражи учетных данных.

❓ Почему риск возрастает?
Многие сотрудники в секторе производства используют мобильные устройства для входа на рабочие площадки, что повышает вероятность попадания на фишинговые ссылки в условиях высокой занятости и стремления к соблюдению сроков.

🛡 ИИ в службе BEC-мошенничества
Отчёт отмечает, что 36% фишинговых писем с использованием BEC были созданы генеративным ИИ, что делает их более сложными для выявления. Злоумышленники также часто используют вложения и URL-перенаправления для обхода систем безопасности.

#новости #фишинг

В третьей статье цикла обсудим архитектуру объектов USER и GDI, которые отвечают за графику и интерфейс Windows. Например, объект типа *Window* включает почти все элементы окна — кнопки, поля ввода, списки и чекбоксы, а GDI добавляет обрамление, фигуры, цвет и шрифты.

⚙️Память и пулы Windows

Вся физическая память распределяется через системный диспетчер. Он выделяет большие объёмы через VirtualAlloc() и мелкие через HeapAlloc(), которые на уровне ядра обращаются к NtAllocateVirtualMemory() и RtlAllocateHeap().

Память делится на Paged Pool (может выгружаться на диск) и NonPaged Pool (всегда в ОЗУ). При старте создаётся несколько базовых пула для каждого пользователя в своей сессии, а также для всех системных служб. Это помогает системно управлять памятью и разграничивать процессы.

⚙️USER и GDI: Память и объектная таблица

🔸 USER-объекты (интерфейсные элементы) хранятся в куче рабочего стола.
🔸 GDI-объекты (графические примитивы) получают память из NonPagedSessionPool.

Объекты GDI привязаны к контексту создающего их процесса. Например, передача кисти из одного процесса в другой с высокой вероятностью может привести к сбоям.

Дескрипторы объектов управляются глобальной таблицей в каждой сессии и индексируются в фиксированной таблице с лимитом в 65,536 объектов. Например, GDIProcessHandleQuota в реестре ограничивает доступный для процесса лимит (по умолчанию — 10,000 дескрипторов).

⚙️Объекты USER

USER-объекты индексируются в таблице дескрипторов каждой сессии, которая отображается в пользовательском пространстве каждого GUI-процесса. Указатель на таблицу USER хранится в win32k!gSharedInfo, и её записи отображаются через массив HANDLEENTRY, предоставляя быстрый доступ процессам без необходимости в вызовах ядра.

🗣️ GDI и USER объекты — основа графической подсистемы Windows, которая позволяет управлять интерфейсом и графикой на уровне ядра.

➡️ Читать подробнее

✔️ Вышла новая статья рубрики "Без про-v-ода"!

Сегодня мы тестируем три популярных прошивки для платы ESP8266: ESP8266-EvilTwin, ESP8266-Captive-Portal и PhiSiFi. Если вы уже пробовали deauther, пришло время познакомиться с другими прошивками, каждая из которых предлагает уникальные возможности.

⚙️ PhiSiFi объединяет функционал Evil-Twin и Captive-Portal, создавая поддельные точки доступа для захвата паролей и отключения пользователей от сети. Простой интерфейс и удобный Captive Portal делают её идеальной для тестирования беспроводной безопасности.

📎 EvilTwin и Captive-Portal тоже отлично работают, но уступают по функционалу и удобству. EvilTwin предлагает самописный интерфейс для создания фейковых точек доступа, а Captive-Portal больше подходит для развлечения и демонстрации захвата данных.

✔️ Читать подробнее

29 октября Apple выпустила критическое обновление безопасности для 90 своих сервисов и операционных систем, включая macOS, iOS, iPadOS, watchOS, tvOS и visionOS. Обновления также коснулись Safari и iTunes. Это обновление устраняет множество уязвимостей, которые могли поставить под угрозу конфиденциальность и безопасность пользователей.

Что нового?
🔸 macOS: Исправлены уязвимости, которые позволяли злоумышленникам получить доступ к контактам, конфиденциальным данным геолокации через сервис Find My и утечкам критических данных ядра. Некоторые из них также устраняли возможность атаки отказа в обслуживании (DoS) при открытии вредоносных изображений.
🔸 Safari: Закрыты дыры, позволявшие утечку истории просмотров в режиме Private Browsing.
🔸 iOS и iPadOS: Устранены баги, которые позволяли просматривать личные данные, даже если устройство заблокировано. Среди уязвимостей — проблема с Siri, из-за которой можно было просматривать фотографии контактов.
🔸 visionOS 2.1: Обновление включает исправления более чем 25 уязвимостей, некоторые из которых позволяли выполнение произвольного кода, доступ к конфиденциальной информации и даже полный сбой системы.

🗣️ Apple подчеркивает, что своевременное обновление ПО — это ключ к защите устройств и данных. Исследователи из таких компаний, как Trend Micro, CrowdStrike, Alibaba и JD.com, внесли значительный вклад в обнаружение и устранение этих уязвимостей.

#новости

Aircrack-ng👩‍💻

Aircrack-ng - это инструмент, который используется для безопасности и взлома Wi-Fi сетей. Это всё в одном - сниффер пакетов, взломщик WEP и WPA/WPA2, инструмент анализа и инструмент захвата хэшей. Он помогает захватывать пакеты и считывать из них хэши и даже взламывать эти хэши с помощью различных атак, таких как атаки по словарю.
Может работать в 4 режимах:
Режим монитора - Мониторит передачу пакетов и захватывает их, пока не поймает определённый файл с хэшем.
Режим атаки - Создаёт поддельные точки доступа и выполняет деаунтификацию.
Режим тестировки - Проверка вашей сетевой карты на совместимость и исправность, относительно работы программы.
Режим взлома - взламывет WEP или WPA PSK.

🔸Для вывода листа доступных сетевых интерфейсов, можно просто написать:

airmon-ng

🔸Можно остановить сетевой интерфейс:

airmon-ng stop <INTERFACE>

🔸И запустить на определённом канале:

airmon-ng start <INTERFACE> <CHANNEL>

🔸Давайте попробуем украсть аутентификационное рукопожатие)):

airodump-ng -c <CHANNEL> --bssid <BSSID> -w psk <INTERFACE>

🔸А далее можно подобрать пароль с помощью aircrack-ng:

aircrack-ng -w <PATH_T0_WORDLIST> <HANDSHAKE>